El impacto del Reglamento Ómnibus Digital de la UE en la definición de datos personales del RGPD

El 19 de noviembre, la Comisión Europea presentó un proyecto de reglamento conocido como Reglamento Ómnibus Digital (Reglamento Ómnibus), cuyo objetivo es simplificar y consolidar diversas leyes digitales dentro de la UE. Uno de los cambios más significativos que se proponen se refiere a la definición de datos personales en el artículo 4, apartado 1, del Reglamento General de Protección de Datos (RGPD) de la UE.

El borrador actual del reglamento ómnibus propone añadir tres frases adicionales a la definición de datos personales del RGPD. Las tres frases propuestas refuerzan los principios ya contenidos en los considerandos del RGPD, así como la jurisprudencia del Tribunal de Justicia de la Unión Europea en cuanto a lo que no se considera información personal según el RGPD (y, por lo tanto, queda fuera del ámbito de aplicación del RGPD). 

Las tres frases adicionales propuestas son:

• «La información relativa a una persona física no es necesariamente un dato personal para todas las demás personas o entidades, por el mero hecho de que otra entidad pueda identificar a esa persona física». Este cambio deja claro que no basta con que alguien, en algún lugar del planeta Tierra, pueda identificar al interesado para que la información se considere datos personales. Por el contrario, la información solo es datos personales si la entidad que realmente trata la información personal (responsable o encargado del tratamiento) puede identificar al interesado. Lo que otras personas puedan hacer para identificar a un individuo no es relevante.
• «La información no será personal para una entidad determinada cuando dicha entidad no pueda identificar a la persona física a la que se refiere la información, teniendo en cuenta los medios que razonablemente podría utilizar dicha entidad». Esta frase se deriva naturalmente de la primera adición y simplemente dice que el carácter personal de la información se basa en la otra información que probablemente posea la entidad y en otros medios que esta pueda utilizar razonablemente. En otras palabras, la información no es un dato personal solo porque la entidad pueda tomar medidas extremas para identificar al individuo. En cambio, solo es un dato personal si la entidad que procesa la información tiene los medios para acceder a la información adicional y es razonablemente probable que utilice esos medios. Aún está por ver hasta dónde llegará esto, pero podría significar que las limitaciones contractuales podrían ser suficientes. Por ejemplo, si una entidad seudonimiza datos personales y tiene prohibido contractualmente proporcionar la clave u otra información para volver a identificarlos, la parte que reciba los datos seudonimizados podría considerarlos información no personal. Cabe destacar que este concepto siempre ha formado parte del RGPD, tal y como se revela en el considerando 26, pero a menudo ha sido ignorado por las partes contratantes en acuerdos de protección de datos y similares.
• «Dicha información no se convierte en personal para esa entidad simplemente porque un posible destinatario posterior disponga de medios que puedan utilizarse razonablemente para identificar a la persona física a la que se refiere la información». Este es otro cambio que deja claro que los datos personales están en el proverbial «ojo del espectador» (o deberíamos decir en el ojo del titular de los datos). En pocas palabras, si una entidad no puede identificar al interesado basándose en la información que posee, pero facilita la información a un tercero que sí puede hacerlo, la información no es un dato personal para la primera entidad, sino que es un dato personal para la entidad receptora. Esto implica que los datos personales pueden pasar de ser datos personales a ser simplemente información no personal y viceversa, dependiendo de quién los posea. 

Impacto en las empresas

Si bien los cambios reiteran en gran medida lo que ya establece el RGPD en los considerandos, es probable que, de adoptarse, los cambios propuestos tengan un impacto en las negociaciones contractuales entre los transmisores y los receptores de datos que, de otro modo, estarían sujetos al RGPD. Aunque muchas organizaciones han afirmado que la información debidamente anonimizada o seudonimizada sigue siendo datos personales en manos de cualquier destinatario , aunque esta opinión sea contraria a los considerandos , esta redacción dejaría claro que esta información puede no ser datos personales si el destinatario no puede identificar al interesado y no dispone de medios razonables o acceso a información que permita dicha identificación. Y si el titular de la información transmite datos no personales a alguien que podría volver a identificar la información para que se convierta en datos personales, estos seguirían sin ser datos personales para la entidad que los envía. 

En efecto, los cambios, si se adoptan, dejan claro que las obligaciones relacionadas con la información anonimizada y seudonimizada son menores para las organizaciones que no pueden utilizar razonablemente la información para identificar a una persona que las obligaciones exigidas para los datos personales en virtud del RGPD, y pueden contribuir a reducir la necesidad de dedicar recursos limitados a lo que ahora puede considerarse claramente datos no personales. 

Si se adoptan los cambios, también podrían tener efectos de mayor alcance, ya que implican que la información anonimizada o seudonimizada (suponiendo que el destinatario no pueda identificar razonablemente a una persona) podría utilizarse sin restricciones (por ejemplo, para entrenar la IA) o incluso exportarse fuera de la UE sin necesidad de cláusulas contractuales tipo u otras medidas de protección de datos si el importador de datos sigue sin poder identificar a una persona. 

El 19 de noviembre, la Comisión Europea publicó un proyecto de reglamento para simplificar y consolidar diversas leyes digitales de la UE, el denominado Reglamento Ómnibus Digital. Uno de los cambios propuestos más trascendentales se refiere a la definición de datos personales en el artículo 4, apartado 1, del Reglamento general de protección de datos de la UE. El concepto de datos personales no solo define el ámbito de aplicación del RGPD, sino que también tiene implicaciones prácticas para otros actos jurídicos del Reglamento digital de la UE, como la Ley de Inteligencia Artificial o la Ley de Datos.

Ver artículo de referencia